La faisabilité des schémas de certification de protection de la vie privée

(2) Iso 29100 et 29101

En 2003, l'ISO a lancé le groupe de travail sur les technologies de la protection de la vie privée pour identifier les besoins de standardisation  qui s'intitule aujourd'hui : Privacy Standardization ISO/IEC JTC 1/SC 27/WG 5 «Privacy & Identity ManagementTechnologies» (fig.3)

Après évolution, les thèmes de travail sont les suivants ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}  :

cadres & Architectures

A Framework for Identity Management (ISO/IEC 24760, FCD, WD, WD)

Privacy Framework (ISO/IEC 29100, FCD)

Privacy Reference Architecture (ISO/IEC 29101, CD)

Entity Authentication Assurance Framework

(ISO/IEC 29115 / ITU-T X.eaa, CD)

A Framework for Access Management (ISO/IEC 29146, WD)

Concepts de protection

Biometric information protection (ISO/IEC 24745, FDIS)

Requirements on partially anonymous, partially unlinkable authentication

(ISO/IEC 29191, CD)

Guide sur le contexte et l'évaluation

Authentication Context for Biometrics (ISO/IEC 24761, IS)

Privacy Capability Assessment Model ( ISO/IEC 29190, WD)

Les normes ISO 29100 et 29101 (stade draft) ne traitent pas de DP mais de « données identifiant les individus » (PII) et propose de les classer en trois catégories :

-informations qui pourraient être utilisées pour discriminer le sujet (ex.race, religion, ethnie, idées philosophiques, idées politiques et syndicales, vie sexuelle, santé )

-informations qui pourraient entrainer une usurpation d'identité ou des conséquences financières

-informations qui pourraient servir à tracer l'individu

Les données doivent être classifiées.

Ainsi il est proposé de baser la classification sur le besoin de protection (tableau ci-dessous) ou autre (ex. le niveau d'impact : BAS/ MEDIUM/HAUT)

Tableau Personal Identifiable Information

Figure ISO/IEC JTC 1/SC 27-IT Techniques de sécurité

La politique et les procédures de protection des PII, dépendent de trois facteurs :

· Préférences de l'individu

· Secteur, domaine (politique contractuelle ; politique de l'organisation ; pratiques du secteur d'activité...)

· Lois et règlements

La sensibilité des données s'étend à toutes les PII desquelles les PII sensibles peuvent être déduites selon le secteur. De plus des lois locales peuvent juger de la sensibilité de certaines données. Enfin la sensibilité est à considérer de manière globale, c'est-à-dire une sensibilité augmentée si deux PII sont traitées ensemble.

Base des principes de l'ISO /IEC 29100 :

1. Consentement libre, éclairé, opt in, information accessible, facilement compréhensible

2. Légitimité du traitement et finalité : communiqué au plus tard au moment de la collecte ; base légale, nom des destinataires, durée conservation

3. Collecte limitée aux besoins en fonction de la finalité

4. Limitations d'utilisation, de conservation, de divulgation

5. Limitation des interactions, des liaisons entre données et si possible le suivi, l'observabilité, détruire si finalité atteinte

6. Pertinence et qualité des données, actualisées

7. Ouverture, transparence, et information

8. Participation individuelle et accès, modification

9. Responsabilité et « obligation de rendre compte » (Accountability) 

10. Information sur les contrôles de sécurité : intégrité, disponibilité, confidentialité tout au long du cycle de management ; les mesures sont basées sur les exigences légales; implémentation en fonction de la probabilité et de la sévérité des conséquences ;

11. Moyens organisationnels, techniques et physiques ;

12. Conformité : contrôles internes appropriés ; développer et maintenir des processus de maintien de conformité

13. procédures de rétablissement et de contrôle.

Pour chaque principe la norme décrit les moyens d'y parvenir.

Elle prescrit la prise en compte de la protection des données dès la conception (PbD), des évaluations et audits réguliers.

Les points relatifs à la sécurité des données sont à titre d'illustration, mis en parallèle avec les articles correspondants de l'ISO 27002 :

Tableau principes de protection des données et leur correspondance en sécurité de l'information

-ISO 29101 Implémentation: architecture pour planifier et construire un système de TIC traitant des PII (voir fig.5)

Il s'agit de bonnes pratiques fondées sur les principes énoncés dans l'ISO 29100, dont les principales caractéristiques sont : la mise en oeuvre d'un processus d'amélioration continue, la mise en place d'un système de gouvernance, la gestion des risques, un principe de collecte et de traitement minimum de PII ; un rôle primordial accordé à la sensibilisation, à l'éducation, et à la communication proactive, sur les obligations règlementaires, légales, contractuelles et sur les exigences du secteur d'activité pour la gestion et protection des PII.

Une série de mesures concernent les PETs.

Tableau cadre de référence des principaux éléments de l'architecture de protection de la vie privée (source ISO 29101)

-Le modèle de maturité ISO/IEC NP 29190 Privacy capability maturity model (modèle de maturité de possibilités) :
Ce document encore au stade de draft, consiste en une série de lignes directrices devant permettre aux organisations d'évaluer la maturité de leur processus de traitement des informations personnelles, c'est-à-dire leur capacité à manager et à atteindre des résultats liés à la protection de la vie privée. Cela revient à considérer que divers acteurs sont concernés et que les exigences varient en fonction du niveau d'intervention de chacun.
Le document pourrait aussi être utilisé par des tierces parties.

Le CMP semble faire un retour en force dans le secteur de la protection de la vie privée puisqu'on le retrouve tant au niveau du standard ISO que du PMM de l'AICPA ou par exemple du modèle de gouvernance de Microsoft. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

La maturité d'une organisation est le degré auquel celle-ci a déployé explicitement et de façon cohérente des processus qui sont documentés, gérés, mesurés, contrôlés et continuellement améliorés.

Un niveau de maturité (Maturity Level) correspond à l'atteinte d'un niveau de capacité uniforme pour un groupe de processus.

Un niveau de capacité (Capability Level) mesure l'atteinte des objectifs d'un processus pour le niveau donné.

* REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 4 ISO roadmap

* REF _Ref278271812 \r \h \* MERGEFORMAT Modèle de gouvernance